Linux 服务器上托管的文件需要哪些文件权限？

Question

我有一个网络服务器并在其上安装了 WordPress。我想了解保护我的网站所需的文件权限。 （上次 XSS 发生在我的网站上时，他们在我的所有 index.php 文件和其他一些文件中写入内容。我不知道他们是如何做到这一点的。）

最佳文件权限是什么？

Answer 1

该脚本必须至少具有所有者读取和执行权限。这里脚本设置为755（只有脚本所有者拥有读、写和执行权限；其他用户和组只有读和执行权限）。

请注意，您将文件的所有者设置为 apache 用户（通常是 apache 或 www-data 或类似的用户）。

Answer 2

Web 服务器用户可读，任何人都不可写。当然，确切的细节取决于您正在做什么，但请从那里开始。如果可以的话，尽量留在那里。

Answer 3

我认为将您链接到我认为在保护 Wordpress 时很方便的博客文章可能会更容易。它包含的内容超出了您感兴趣的内容，但仍然非常方便。

http://www.smashingmagazine.com/2010/ 07/01/10-useful-wordpress-security-tweaks/

3、5 和 7 您会感兴趣。

与您的配置文件直接相关，您可以使用 shell 命令来保护它，如下所示：

chmod 750 wp-config.php

Answer 4

如果您的环境允许，基本文件为 400，目录为 500。这意味着只读。
如果您想启用上传，则应为其设置适当的写入权限，600。

一些托管提供商在共享用户（例如“apache”）上运行其所有网站，但对于 FTP，则使用“youruser”。在这种情况下，文件需要 440，目录需要 550。

任何可写目录或文件都可能降低安装的安全性，但您必须平衡可用性和安全性。

Answer 5

在 shell 中输入：

chown apache:apache filename

或

chown root:root filename ，
这取决于您的超级管理员用户名是什么

：

chmod 0755 filename